updpxe32.exe svchost.exe

Printable View

17.08.2010, 20:52
lokok

updpxe32.exe svchost.exe

В автозагрузке весит updpxe32.exe и svchost.exe грузит 50 % ЦП.
17.08.2010, 20:57
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL] в безопасном режиме
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\AtapiDrv.sys');
DeleteFile('C:\Documents and Settings\Admin\Главное меню\Программы\Автозагрузка\updpxe32.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun',221);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([B]virusinfo_syscheck.zip[/B]; [B]hijackthis.log[/B])
- Скачайте [B]RSIT[/B] [URL="http://images.malwareremoval.com/random/RSIT.exe"]тут[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета [B]log.txt[/B] и [B]info.txt[/B]. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
17.08.2010, 21:19
lokok

Вроде все, помогло. Спасибо.
17.08.2010, 21:27
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('srservice');
DeleteFile('srservice.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot\network\AtapiDrv.sys');
RegKeyDel('HKLM','SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AtapiDrv.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
17.08.2010, 21:39
lokok

- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B]
17.08.2010, 21:47
polword

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('srservice');
DeleteFile('srservice.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('srservice.sys');
BC_DeleteSvc('srservice');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- Сделайте повторный лог [B]virusinfo_syscheck.zip[/B];
17.08.2010, 22:15
lokok

(10 символов)
18.08.2010, 06:53
polword

чисто.

- Откройте файл [URL="http://df.ru/~kad/ScanVuln.txt"]ScanVuln.txt[/URL]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
На этом можно считать лечение законченным.
19.08.2010, 06:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\admin\\главное меню\\программы\\автозагрузка\\updpxe32.exe - [B]Backdoor.Win32.Bredolab.hfm[/B] ( DrWEB: Trojan.Botnetlog.505, BitDefender: Trojan.Generic.4784105, NOD32: Win32/TrojanDownloader.Bredolab.BE trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\drivers\\atapidrv.sys - [B]Rootkit.Win32.Agent.blls[/B] ( DrWEB: Trojan.NtRootKit.6671, BitDefender: Backdoor.Generic.438667, AVAST4: Win32:FakeAV-ANE [Rtk] )[/LIST][/LIST]